Блокирование неактивных учётных записей
Для обеспечения безопасности и минимизации риска использования забытых или устаревших учётных записей модуль pam_lastlog позволяет реализовать блокирование входа пользователей, не осуществлявших вход в Систему в течение определённого количества дней.
Блокирование при входе через GDM
Для включения блокировки неактивных учётных записей при входе через графический менеджер входа (по умолчанию используется GDM) требуется внести изменения в файл /etc/pam.d/password-auth. Для этого необходимо:
- открыть файл для редактирования с правами суперпользователя:
sudo nano /etc/pam.d/password-auth
- добавить в него строку:
auth required pam_lastlog.so inactive=90
между строками:
auth required pam_env.so
и:
auth sufficient pam_unix.so try_first_pass nullok
- также добавить строку:
account required pam_lastlog.so inactive=90
перед строкой:
account required pam_unix.so
Параметр inactive=90 указывает, что вход будет заблокирован, если последний вход пользователя был выполнен более 90 суток назад. При необходимости значение может быть изменено.
Блокирование при входе через терминал (TTY, SSH)
Для включения аналогичного механизма при входе через терминал или SSH необходимо внести аналогичные изменения в файл /etc/pam.d/system-auth. Для этого необходимо:
- открыть файл для редактирования:
sudo nano /etc/pam.d/system-auth
- добавить в файл строку:
auth required pam_lastlog.so inactive=90
между строками:
auth required pam_env.so
и
auth sufficient pam_unix.so try_first_pass likeauth nullok
- также добавить строку:
account required pam_lastlog.so inactive=90
перед строкой:
account required pam_unix.so
Данная конфигурация блокирует доступ к Системе пользователям, чья учётная запись не использовалась в течение указанного срока.
Просмотр справки по модулю pam_lastlog
Для получения дополнительной информации о возможных параметрах модуля pam_lastlog рекомендуется использовать встроенную справку:
man pam_lastlog